OpenAM Policy Agentの脆弱性について [am2021-2-1]

OSSTech OpenAM Policy Agent のアップデート版の提供を開始します。アップデート版ではセキュリティ脆弱性が修正されておりますので適用をお願いします。

2021-06-28

サポートニュース

OpenAM

update

OpenAM Policy Agent の脆弱性について

OpenAM Policy Agent4 にクロスサイトスクリプティングの脆弱性が発見されました。

osstech-openam-agent4 の POST データ保持機能にクロスサイトスクリプティングの脆弱性が存在し、 悪意 のある攻撃者が閲覧者のWebブラウザ上でスクリプトを実行できる可能性があります。

対象

  • OpenAM Policy Agent 4
    • osstech-openam-agent4-apache24-4.0.0-35 以前のバージョン

※ OpenAM Policy Agent 3(osstech-openam-agent-apache22およびosstech-openam-agent-apache24)は対象外です。

恒久対策

アップデート版の適用をお願いします。

暫定回避策

POST データ保持機能 を無効にします。

  • 設定箇所(OpenAM管理コンソールにて設定)
[レルム] - [エージェント] - [Web] -  [エージェント]のAgent名 - [高度] - [POST データ保持]の有効のチェックを外す

(設定の反映にPolicy Agentが動作するApacheの再起動が必要です。)

アップデートパッケージの入手方法

お客様がご利用中の OpenAM Policy Agent4 の環境について、下記の動作 OSと ご利用中の弊社製品のバージョンの情報をご確認の上、 弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

OS について

  • Red Hat Enterprise Linux 8 (x86-64)
  • Red Hat Enterprise Linux 7 (x86-64)
  • Red Hat Enterprise Linux 6 (x86-64)

OpenAM Policy Agent のバージョンについて

rpm パッケージを導入されている場合は下記のコマンドでご確認ください。

# rpm -qa | grep osstech

アップデート版の修正内容をリリースノートに記載しております。

Go To Top